Un acteur de la menace persistante avancée (APT) de langue chinoise précédemment non documenté, surnommé Aoqin Dragon, a été lié à une série d’attaques axées sur l’espionnage visant des entités gouvernementales, éducatives et de télécommunications, principalement en Asie du Sud-Est et en Australie, remontant à 2013. « Aoqin Dragon cherche un accès initial principalement par le biais d’exploits de documents et de l’utilisation de faux périphériques amovibles », a déclaré le chercheur de SentinelOne, Joey Chen, dans un rapport partagé avec breachtrace. « Les autres techniques utilisées par l’attaquant incluent le détournement de DLL, les fichiers emballés par Themida et le tunneling DNS pour échapper à la détection post-compromis. » Le groupe aurait un certain niveau d’association tactique avec un autre acteur menaçant connu sous le nom de Naikon (alias Override Panda), les campagnes étant principalement dirigées contre des cibles en Australie, au Cambodge, à Hong Kong, à Singapour et au Vietnam. Les chaînes d’infections montées par Aoqin Dragon ont misé sur les affaires politiques de l’Asie-Pacifique et les leurres de documents à thème pornographique ainsi que sur les techniques de raccourci USB pour déclencher le déploiement de l’une des deux portes dérobées : Mongall et une version modifiée du projet open source Heyoka. Jusqu’en 2015, cela impliquait de tirer parti des exploits pour les vulnérabilités de sécurité anciennes et non corrigées (CVE-2012-0158 et CVE-2010-3333) dans les documents leurres conçus pour inciter les cibles à les ouvrir. Au fil des ans, l’acteur de la menace a fait évoluer son approche pour utiliser des droppers exécutables se faisant passer pour des logiciels antivirus de McAfee et Bkav pour déployer l’implant et se connecter à un serveur distant. « Bien que des fichiers exécutables avec de fausses icônes de fichiers aient été utilisés par divers acteurs, cela reste un outil efficace, en particulier pour les cibles APT », a expliqué Chen. « Combinés à un contenu d’e-mail « intéressant » et à un nom de fichier accrocheur, les utilisateurs peuvent être socialement incités à cliquer sur le fichier. »

Cela dit, le plus récent vecteur d’accès initial d’Aoqin Dragon depuis 2018 est son utilisation d’un faux fichier de raccourci de périphérique amovible (.LNK), qui, lorsqu’il est cliqué, exécute un exécutable (« RemovableDisc.exe ») masqué avec l’icône du l’application de prise de notes populaire Evernote, mais est conçue pour fonctionner comme un chargeur pour deux charges utiles différentes. L’un des composants de la chaîne d’infection est un épandeur qui copie tous les fichiers malveillants sur d’autres périphériques amovibles et le deuxième module est une porte dérobée cryptée qui s’injecte dans la mémoire de rundll32, un processus Windows natif utilisé pour charger et exécuter des fichiers DLL. Connu pour être utilisé depuis au moins 2013, Mongall (« HJ-client.dll ») est décrit comme un implant pas si « particulièrement riche en fonctionnalités », mais qui contient suffisamment de fonctionnalités pour créer un shell distant et télécharger des fichiers arbitraires vers et du serveur de contrôle de l’attaquant. L’adversaire utilise également une variante retravaillée de Heyoka (« srvdll.dll »), un outil d’exfiltration de preuve de concept (PoC) « qui utilise des requêtes DNS usurpées pour créer un tunnel bidirectionnel ». La porte dérobée Heyoka modifiée est plus puissante, dotée de capacités pour créer, supprimer et rechercher des fichiers, créer et terminer des processus et collecter des informations de processus sur un hôte compromis. « Aoqin Dragon est un groupe de cyberespionnage actif qui opère depuis près d’une décennie », a déclaré Chen, ajoutant, « il est probable qu’ils continueront également à faire progresser leur métier, en trouvant de nouvelles méthodes pour échapper à la détection et en restant plus longtemps dans leur réseau cible. . »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *